Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können. Indem Sie diese Website nutzen, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Bitte lesen Sie unseren DATENSCHUTZERKLÄRUNG. Dort erfahren Sie mehr über die von uns verwendeten Cookies und wie Sie diese löschen oder blockieren können.
Artikel:

Prüfung von Risikomanagementsystemen

24. Mai 2016

Einleitung

Der Berufsstand hat bisher mit IDW PS 340 („Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB“) die Prüfung eines Teilbereichs eines Risikomanagementsystems (RMS) geregelt. Mit dem am 03. März 2016 durch den Hauptfachausschuss des Instituts der Wirtschaftsprüfer in Deutschland e. V. (IDW) verabschiedeten Entwurf eines Prüfungsstandards zur Prüfung von Risikomanagementsystemen (IDW EPS 981: „Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen“) wird ein ganzheitlicher Prüfungsansatz vorgestellt. Anlehnend an den seit 2011 in Kraft befindlichen Prüfungsstandards für Compliance Management Systeme (IDW PS 980: „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“) ermöglicht dieser Prüfungsstandard anhand eines generischen Ansatzes die systematische Prüfung von Risikomanagementsystemen.

Risikofrüherkennungs- oder Risikomanagementsystem?

Während der IDW PS 340 Risikomanagement als [...] die Gesamtheit aller organisatorischen Regelungen  und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung [...]“ definiert, sieht der IDW EPS 981 hierin die „Gesamtheit der Regelungen, die einen strukturierten Umgang mit Chancen und Risiken im Unternehmen sicherstellt“. In § 91 Abs. 2 AktG ist lediglich kodifiziert, dass der Vorstand geeignete Maßnahmen zu treffen hat, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden (Risikofrüherkennungs- und Überwachungssystem). Eine Ausstrahlungswirkung dieser aktienrechtlichen Regelungen auf andere Unternehmensformen kann jedoch gegeben sein.

Das Risikofrüherkennungssystem umfasst

  • Risikoidentifikation,
  • Risikoanalyse/-bewertung,
  • Risikokommunikation und
  • Risikohandhabung sowie
  • Überwachung des Früherkennungssystems

und ist verpflichtend nur für bestandsgefährdende Risiken durchzuführen. Darüber hinaus erweitert der IDW PS 981 den Risikobegriff. Mithin stellt das Risikofrüherkennungs- undÜberwachungssystem somit einen Teilaspekt eines Risikomanagementsystems dar.

Wie ist RMS i .S. d. IDW EPS 981 aufgebaut?

Der Aufbau des RMS i. S. d. EPS 981 steht im Einklang mit dem weltweit anerkannten Rahmenkonzept des Committee of Sponsoring  Organizations of the Treadway Commission (COSO) „Enterprise Risk Management Framework“ (COSO II).

Auch der IDW EPS 981 bedient sich eines dreidimensionalen Ansatzes von Zielkategorien, Unternehmensprozessen- und -organisation sowie Grundelementen.

Abb. 1: Aufbau und Abgrenzung der Teilbereiche[1]

Der Teil des unternehmensweiten Risikomanagements, der sich auf strategische und operative Risiken aus der Geschäftstätigkeit bezieht, ist Prüfungsgegenstand des IDW EPS 981. Für Zielkategorien wie Compliance und Berichterstattung finden andere Prüfungsstandards Anwendung.

Ein angemessenes RMS beruht auf Basis dieses Standards auf acht miteinander in Wechselwirkung stehenden Grundelementen. Diese sind nachfolgend kurz skizziert.

Die Risikokultur als Teil der Unternehmenskultur umfasst die grundsätzliche Einstellung und die Verhaltensweisen beim Umgang mit Risikosituationen. Sie beeinflusst maßgeblich das Risikobewusstsein im Unternehmen und bildet die Grundlage für ein wirksames RMS. Die Risikokultur wird geprägt von der grundsätzlichen Einstellung und den Verhaltensweisen beim Umgang mit Chancen- und Risikosituationen sowohl im täglichen Geschäft als auch bei bedeutsamen unternehmerischen Entscheidungen.

Aus der Risikokultur, der Unternehmensstrategie und den Unternehmenszielen werden die Ziele des RMS abgeleitet und in einer Risikostrategie formuliert. Dabei bilden insbesondere die unternehmenspolitischen Zielsetzungen und die Unternehmensstrategie die Ausgangsbasis für die Ableitung der Risikostrategie.

Eine transparente und eindeutige Aufbauorganisation sowie eine klar definierte Ablauforganisation sind integrale Bestandteile eines wirksamen RMS. Verantwortungsbereiche und Rollen sind eindeutig zu regeln, abzugrenzen, zu kommunizieren und entsprechend zu dokumentieren. Es ist sicherzustellen, dass die Ver-antwortungsträger die erforderlichen persönlichen und fachlichen Voraussetzungen erfüllen. Hinreichende Ressourcen für erforderliche Risikomanagement-Maßnahmen (insb. Personen, Technologie, Hilfsmittel) werden zur Verfügung gestellt.

Die Risikoidentifikation umfasst die regelmäßige, systematische Analyse von internen und externen Entwicklungen und Ereignissen, die zu negativen oder positiven Abweichungen von den festgelegten Zielen des RMS führen können. Hierbei ist zwischen Risiken und Chancen zu unterscheiden. Die Risikoidentifikation hat vollständig, richtig und frühzeitig zu erfolgen.

Identifizierte Risiken sollten systematisch und unter Berücksichtigung von Eintrittswahrscheinlichkeit und Auswirkung beurteilt werden (Risikobewertung). Hierfür sind das geltende Bewertungsverfahren und die -kriterien (auch für nicht quantifizierbare Risiken) eindeutig zu definieren. Die verwendete Bewertungssystematik muss dahingehend geeignet sein, dass sie es erlaubt, die Bedeutung und den Wirkungsgrad von Risikosteuerungsmaßnahmen einzuschätzen. Einzelne Risikobewertungen sind systematisch zu aggregieren und Risikointerdependenzen zu analysieren bzw. entsprechend zu berücksichtigen

Auf Grundlage der identifizierten und bewerteten Risiken hat die Unternehmensleitung über geeignete Instrumente zur Risikosteuerung (Risikovermeidung, Risikoreduktion, Risikoteilung bzw. -transfer sowie Risikoakzeptanz) zu entscheiden. Hierdurch werden die Risiken an die Risikotoleranz und -bereitschaft des Unternehmens angepasst. Die festgelegten Ziele des RMS dienen als Bezugsrahmen.

Wesentliche Informationen hinsichtlich identifizierter Risiken sollten in einem angemessenen Informationsfluss und Zeitrahmen an die betroffenen Mitarbeiter kommuniziert werden (Risikokommunikation). Dies umfasst einen standardisierten Prozess auf Basis konkreter Periodizitäten, Schwellenwerte und Berichtsformate. Für Ad-hoc Risikomeldungen ist ein separater Berichtsprozess zu etablieren, der eine zeitnahe Übermittlung der relevanten Informationen sicherstellt.

Angemessenheit und Wirksamkeit des RMS sollen durch prozessintegrierte und prozessunabhängige Kontrollen überwacht werden. Hierfür ist eine angemessene Dokumentation des RMS unerlässlich. Die Ergebnisse der Überwachungsmaßnahmen (insb. festgestellte Mängel) sollen in geeigneter Form berichtet und ausgewertet werden, damit erforderliche Maßnahmen zur Verbesserung des Systems und zur Mängelbeseitigung ergriffen werden können.

Es handelt sich somit nicht um ein starres System, sondern um eine unternehmensindividuelle Aufgabe, deren Ausgestaltung vielmehr von den festgelegten Zielen des RMS sowie von Art, Umfang und Komplexität der Geschäftstätigkeit des Unternehmens abhängt.

Was wird geprüft?

Der IDW EPS 981 ist hinsichtlich des Prüfungsgegenstands, -ziels und -umfangs modular aufgebaut. Gemäß der Ausführung im Prüfungsstandard ist es möglich, im Rahmen einer Angemessenheitsprüfung zu prüfen, ob die zu einem bestimmten Zeitpunkt implementierten Regelungen des RMS in der RMS-Beschreibung des Unternehmens im Einklang mit den angewandten RMS-Grundsätzen in allen wesentlichen Belangen angemessen dargestellt sind sowie die dargestellten Regelungen in Übereinstimmung mit den angewandten RMS-Grundsätzen in allen wesentlichen Belangen geeignet waren, mit hinreichender Sicherheit die wesentlichen Risiken, die dem Erreichen der festgelegten Ziele des RMS entgegenstehen, rechtzeitig zu erkennen, zu bewerten, zu steuern und zu überwachen, und zu einem bestimmten Zeitpunkt implementiert waren.

Darauf aufbauend kann — so der IDW EPS 981 — im Rahmen einer Wirksamkeitsprüfung mit hinreichender Sicherheit eine Aussage darüber getroffen werden, ob die im geprüften Zeitraum implementierten Regelungen des RMS in der RMS-Beschreibung in Übereinstimmung mit den angewandten RMS-Grundsätzen in allen wesentlichen Belangen angemessen dargestellt sind sowie die dargestellten Regelungen in Übereinstimmung mit den angewandten RMS-Grundsätzen in allen wesentlichen Belangen während des geprüften Zeitraums geeignet waren, mit hinreichender Sicherheit die wesentlichen Risiken, die dem Erreichen der festgelegten Ziele des RMS entgegenstehen, rechtzeitig zu erkennen, zu bewerten, zu steuern und zu überwachen, und während des geprüften Zeitraums wirksam waren.

Bei der Prüfung des operativen Risikomanagementsystems ist in diesem Zusammenhang eine Abgrenzung auf funktionaler (z. B. Beschaffungsrisiken, Produktionsrisiken, Absatzrisiken, usw.) oder prozessualer Sicht (Beschaffungsprozess, Vertriebsprozess, etc.) vorgesehen. Bei der Prüfung strategischer Risiken ist eine solche Abgrenzung in der Regel nicht vorgesehen.
Da die Grundelemente — wie zuvor beschrieben — in wechselseitiger Beziehung zueinander stehen, ist eine abgegrenzte Prüfung im Sinne des EPS 981 auf einzelne Elemente des RMS nicht vorgesehen.

Besteht eine Prüfungspflicht und worin liegt der Mehrwert?

Verpflichtend hat der Abschlussprüfer nach § 317 Abs. 4 HGB bei börsennotierten Aktiengesellschaften im Rahmen der Abschlussprüfung lediglich zu beurteilen, ob der Vorstand die nach § 91 Abs. 2 AktG erforderlichen  Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann; eine Prüfung des RMS nach IDW EPS 981 — anlog zum IDW PS 980 — ist hingegen freiwillig. Bei Organisationen, bei denen eine Prüfung des RMS gesetzlich vorgeschrieben ist (bspw. Kredit- und Finanzdienstleitungsinstitute), findet der IDW EPS 981 keine unmittelbare Anwendung.

Dennoch ist zu erwarten, dass diese freiwillige Prüfung im Hinblick auf Haftungsprävention von Vorstand und Aufsichtsrat einen erheblichen Mehrwert mit sich bringt. Neben den gesetzlichen Anforderungen aus § 91 Abs. 2 AktG ist der Vorstand schon aus den allgemeinen Leitungs- und Sorgfaltspflichten (§ 76 Abs. 1 AktG) heraus dazu verpflichtet, dafür Sorge zu tragen, dass Risiken, die das Unternehmen treffen könnten, rechtzeitig identifiziert und gesteuert werden.

Der Aufsichtsrat hat als Kontrollorgan Sorge zu tragen, dass der Vorstand seinen allgemeinen Organisations- und Sorgfaltspflichten nachkommt (§ 111 Abs. 1 AktG), unter das regelmäßig die Überwachung der Wirksamkeit des RMS fallen wird (§ 107 Abs. 3 AktG).

Diese gesetzlich verankerte Verantwortung der Organe kann zwar nicht delegiert werden, jedoch kann die Prüfung der Wirksamkeit des RMS durch einen unabhängigen Prüfer einen objektivierten Nachweis der ermessensfehlerfreien Ausübung der Organisations- und Sorgfaltspflichten des Vorstands erbringen. Hier-aus ergibt sich daher sowohl für den Vorstand als auch für den Aufsichtsrat ein Mehrwert aus der unabhängigen Prüfung des RMS.

Aufgrund z. T. vergleichbarer Sorgfaltspflichten von Organen anderer Gesellschaftsformen erstreckt sich dieser Mehrwert auch über die Sphäre der Aktiengesellschaft hinaus.

Fazit

Der Aufbau eines RMS ist durch den Gesetzgeber oder durch die Literatur nicht eindeutig definiert. Aus diesem Grund ist zu erwarten, dass der neue Prüfungsstandard — ähnlich wie der IDW PS 980 bei Compliance Management Systemen — zukünftig als grundlegendes Konzept angesehen wird und damit einhergehend auch wesentlicher Einflussfaktor bei Überlegungen zur Konzeption, Implementierung, Verbesserung oder Weiterentwicklung eines RMS sein wird.


[1] IDW EPS 981, Rn. A3